Défis à mettre en œuvre des
politiques de sécurité en Amérique latine et des Caraïbes des organisations
par Juan Carlos Sancet Fondevila
Novembre, 2011
1. Assurer la sécurité de l'information: un problème commun
L'information devient une partie plus importante de l'actif d'une organisation. Le contrôle de la sécurité et l'information sont donc un enjeu stratégique important pour les organisations, ainsi que d'un moyen puissant pour atteindre et maintenir la fiabilité et la confiance de ses clients.
Ceci est un facteur crucial pour l'innovation, la concurrence et la croissance. Le contrôle de la sécurité et l'information aussi affecter le secteur financier, surtout aujourd'hui. Dans ce contexte, le ministère de la Sécurité de l'information (DSI) de chaque organisation doit établir un système de gestion de sécurité de l'information (SMSI) et mondial d'information sur la politique de sécurité (IGJC), un principe de base doit être appliqué à travers les entités de l'organisation et par la paie. Partout où vous trouvez des bureaux administratifs, ces principes devraient être adoptés dans chaque Etat, en termes d'organisation, procédurale et technique dans leurs appareils.
Comme les besoins des organisations concernées pour assurer la sécurité des informations, ils doivent élaborer des documents de référence sur la sécurité informatique afin de rester dans le cadre de la conformité réglementaire. Le SMSI, l'ISO / CEI 27001:2005 et sa corrélation avec le Guide de Bonnes Pratiques pour la Gestion de l'information de sécurité ISO / IEC 27002:2005 et d'autres normes et des cadres réglementaires qui sont utilisées comme normes de référence. Les sociétés en Amérique latine et des Caraïbes se sont engagés à IGJC. Et pour profiter au maximum de celui-ci, il devrait tenir compte de certains aspects directement liés à l'environnement en Amérique latine et les Caraïbes.
2. Sécurité de l'information politique en Amérique latine et les Caraïbes
Conception et planification
Les politiques opérationnelles suivantes doivent être élaborées en conformité avec IGJC pour une application dans les entreprises en Amérique latine et les Caraïbes. Certains ont été mis en œuvre, tandis que d'autres sont en cours d'exécution:
• l'information globale la politique de sécurité.
• les politiques de sécurité de mot de passe.
• les politiques de sécurité d'accès physique aux centres de données et les communications.
• la gestion des politiques de sécurité des droits d'accès des utilisateurs aux systèmes des technologies de l'information (TI).
• La politique de sécurité sur Internet.
• La politique de sécurité des emails.
• Les politiques de sécurité pour l'élimination de matériel informatique.
• Sécurité de l'industrie Politiques paiement par carte standard (Payment Card Industry Data Security Standard, PCI DSS) et de leurs politiques correspondantes.
• Les normes de sécurité de l'Association mondiale des loteries et leurs politiques de sécurité respectives.
• Autres. . .
L'application de ces politiques dans toutes les organisations d'Amérique latine et les Caraïbes, le point de référence commun à tous et offre les garanties suivantes:
• La cohérence globale de la sécurité des informations, qui sont décrits pour une protection optimale du personnel et des installations.
• Les politiques qui s'appliquent spécifiquement la «protection de la sécurité globale» de l'organisation.
• Les politiques de sécurité sont des informations cohérentes sur chacun des bureaux de la société, en termes d'organisation, les mesures techniques et de procédures.
• Chaque membre du personnel seront assistés dans la mise en œuvre de ces politiques au sein de l'entreprise.
• Maintenir une vision globale, constante dans le temps, assure un équilibre entre les ressources techniques et financières à appliquer et le niveau de risque évalué.
• Établir une uniformité dans le traitement de la demande des politiques de sécurité dans le choix du bon équipement et la mise en œuvre des solutions retenues.
• Répondre aux besoins de la préservation de la confidentialité, l'intégrité et la disponibilité de l'information (ISO 27000, 2,19), en gardant en conformité avec les exigences liées à la sécurité de l'information.
Toutes les politiques de sécurité doivent être des informations précises afin de faciliter son application sur le terrain, et devrait être conçu pour être suffisamment flexible pour s'adapter à la nature unique de chaque champ. Le thème devrait englober tous les aspects de la sécurité au sein de l'entreprise est «cohérence». Pour parvenir à cette cohérence, et donc au succès de sécurité de l'information dans les organisations est d'une importance capitale pour déterminer les détails de la situation:
1.- Pour s'adapter aux spécificités des pays d'Amérique latine et les Caraïbes.
2.- Les technologies doivent être évaluées en fonction de leur accessibilité.
3.- Les ressources humaines associées à ces technologies doivent être évaluées ainsi.
4.- doivent être pris en compte le contexte économique national et régional.
Dans le détail:
1. Par la compréhension des spécificités de chaque pays, nous pouvons optimiser les phases d'exécution, en appliquant la bonne approche et la méthodologie. L'objectif est atteint avec plus de facilité et d'efficacité.
2. Aujourd'hui, aucune différence significative dans l'accès aux technologies les plus récentes parmi les pays du premier monde et les pays émergents.
3. Les ressources humaines "qualifiés" sont rares, ce qui est un fardeau pour le département qui gère et un revers en termes de plans de programmation. Par conséquent, il ya un besoin urgent de formation. Un facteur important contribuant à la réalisation réussie de l’ «objectifs de sécurité» des différents départements de l'organisation, en s'assurant que les compétences de tous les membres du personnel, leurs capacités sont élevés et maintenus au plus haut niveau que possible dans ses principaux domaines de responsabilité. Ceci est réalisé grâce à la formation et le développement des besoins identifiés. La formation devrait être menée à l'interne et inter-formation et de formation en milieu de travail au sein des départements sous-traitant.
4. Doit être pris en compte le contexte économique national ainsi que régional, afin d'éviter ces objectifs irréalistes et / ou peu pratique, et des attentes trop élevées pour répondre à ces objectifs.
3. Les défis
Tout ce qui est fait doit être surveillé et mesuré, ce qui est contrôlé et mesuré pour être gérée, c'est à dire toutes les activités sont utilisées pour coordonner, diriger et contrôler une organisation sont une partie essentielle de l'ISMS, comme sans mesurer l'efficacité des contrôles de sécurité, il est impossible de connaître l'efficacité de ces contrôles et donc de savoir si l'organisation est vraiment protégé.
Nous faisons face à des défis dans la réalisation des objectifs suivants:
1. Avoir du personnel à tous les niveaux comprennent qu'ils sont une partie intégrante de la sécurité de l'information, et joue un rôle essentiel dans le fonctionnement de l'organisation.
2. Impliquer le personnel dans la sécurité de l'entreprise / institution et des plans de prévention, une formation aux procédures d'exploitation, peut jouer un rôle dans leur propre sécurité et, ce faisant, tous les autres, en minimisant les menaces et les risques qui peuvent survenir.
3. Établir un système d'évaluation qui permet un suivi continu des aspects les plus importants qui affectent les politiques de sécurité pour détecter et corriger les défaillances qui peuvent causer une diminution de l'efficacité.
4. Définir les ressources appropriées, humaines et techniques, nécessaires pour prévenir le vandalisme et le sabotage des bâtiments, locaux et emplacements de l'équipement / antennes.
5. Prendre les mesures nécessaires de contrôle physique et technique, avec la participation et l'engagement de l'une des adresses / départements, si nécessaire, pour éviter les fuites d'informations.
6. La communication interne doit être effectuée tous les mois sur les questions de sécurité pour sensibiliser le personnel sur le rôle qu'il s doivent jouer dans le maintien de la sécurité.
7. Coordonner avec la direction juridique et des marques concernant les actions possibles à prendre, le cas échéant des dommages à l'image de l'entreprise.
8. Aide l'équipe de gestion de crise en fournissant une réponse appropriée à chaque fois qu'un événement se produit, événement, crise ou d'urgence de sécurité.
Objectifs à atteindre:
Pour mettre en œuvre des politiques de sécurité, le comité de pilotage devrait être établi comme l'un des principaux moyens pour atteindre les objectifs, à savoir la prévention, l'anticipation et, si nécessaire, en éliminant les aléas possibles et les menaces en procédant ainsi par l’utilisation des consignes de sécurité . Les mécanismes mis en place pour atteindre ces objectifs peuvent varier selon les enjeux, les modalités et la nature de l'activité (mesurable ou non), le niveau d'efficacité requis ainsi que le coût de la mise en œuvre.
Les objectifs doivent être identifiés afin de parvenir à une date spécifiée. De même, les plans d'action correspondants doivent être définis et mis en œuvre, tandis que dans le même temps, introduire des procédures de gestion efficaces pour le personnel à relever ce défi.
Merci à des objectifs en politiques de sécurité, les organisations d'Amérique latine et les Caraïbes sont en mesure d'assurer la sécurité des personnes, des installations, et l'image des entreprises.
4. La réalité
Les défis à atteindre dans les réalités de l'Amérique latine et les Caraïbes, c'est à dire terre à terre.
Être pris en compte, bien sûr, les aspects technologiques et économiques tandis que la clé pour relever avec succès les défis et atteindre les objectifs réside dans les ressources humaines. Dans cet esprit, les critères suivants ont été choisis et définis:
• L'accent devrait être inclus dans la surveillance continue et la coordination.
• En outre, il est essentiel de sensibiliser les responsabilités de chaque membre du personnel, individuellement et comme faisant partie d'une équipe.
• Comprendre les mécanismes du travail d'équipe est une question clé pour le succès. Ils sont tenus de surveiller et d'examiner les procédures et les pratiques mises en œuvre pour une efficacité et d'efficience.
• Fournir des orientations stratégiques et la motivation pour les sous-départements de managers et autres membres du personnel, résultant en des bilans efficaces.
• Les objectifs spécifiques, les responsabilités, les besoins en formation, les connaissances attendues de la formation / formation doit être revu et contrôlé, tant d'un court et moyen terme.
• S'assurer que le personnel dans tous les ministères et organismes sont suffisamment formés pour maintenir les compétences de résilience, ce qui implique ou représente une autre étape sur la route du succès.
Chacun et chacune des organisations d'Amérique latine et des Caraïbes devraient s'efforcer d'assurer la sécurité des informations et assurer l'avenir radieux que tous les organismes méritants.
Retour accueil par Juan Carlos Sancet Fondevila
Novembre, 2011
1. Assurer la sécurité de l'information: un problème commun
L'information devient une partie plus importante de l'actif d'une organisation. Le contrôle de la sécurité et l'information sont donc un enjeu stratégique important pour les organisations, ainsi que d'un moyen puissant pour atteindre et maintenir la fiabilité et la confiance de ses clients.
Ceci est un facteur crucial pour l'innovation, la concurrence et la croissance. Le contrôle de la sécurité et l'information aussi affecter le secteur financier, surtout aujourd'hui. Dans ce contexte, le ministère de la Sécurité de l'information (DSI) de chaque organisation doit établir un système de gestion de sécurité de l'information (SMSI) et mondial d'information sur la politique de sécurité (IGJC), un principe de base doit être appliqué à travers les entités de l'organisation et par la paie. Partout où vous trouvez des bureaux administratifs, ces principes devraient être adoptés dans chaque Etat, en termes d'organisation, procédurale et technique dans leurs appareils.
Comme les besoins des organisations concernées pour assurer la sécurité des informations, ils doivent élaborer des documents de référence sur la sécurité informatique afin de rester dans le cadre de la conformité réglementaire. Le SMSI, l'ISO / CEI 27001:2005 et sa corrélation avec le Guide de Bonnes Pratiques pour la Gestion de l'information de sécurité ISO / IEC 27002:2005 et d'autres normes et des cadres réglementaires qui sont utilisées comme normes de référence. Les sociétés en Amérique latine et des Caraïbes se sont engagés à IGJC. Et pour profiter au maximum de celui-ci, il devrait tenir compte de certains aspects directement liés à l'environnement en Amérique latine et les Caraïbes.
2. Sécurité de l'information politique en Amérique latine et les Caraïbes
Conception et planification
Les politiques opérationnelles suivantes doivent être élaborées en conformité avec IGJC pour une application dans les entreprises en Amérique latine et les Caraïbes. Certains ont été mis en œuvre, tandis que d'autres sont en cours d'exécution:
• l'information globale la politique de sécurité.
• les politiques de sécurité de mot de passe.
• les politiques de sécurité d'accès physique aux centres de données et les communications.
• la gestion des politiques de sécurité des droits d'accès des utilisateurs aux systèmes des technologies de l'information (TI).
• La politique de sécurité sur Internet.
• La politique de sécurité des emails.
• Les politiques de sécurité pour l'élimination de matériel informatique.
• Sécurité de l'industrie Politiques paiement par carte standard (Payment Card Industry Data Security Standard, PCI DSS) et de leurs politiques correspondantes.
• Les normes de sécurité de l'Association mondiale des loteries et leurs politiques de sécurité respectives.
• Autres. . .
L'application de ces politiques dans toutes les organisations d'Amérique latine et les Caraïbes, le point de référence commun à tous et offre les garanties suivantes:
• La cohérence globale de la sécurité des informations, qui sont décrits pour une protection optimale du personnel et des installations.
• Les politiques qui s'appliquent spécifiquement la «protection de la sécurité globale» de l'organisation.
• Les politiques de sécurité sont des informations cohérentes sur chacun des bureaux de la société, en termes d'organisation, les mesures techniques et de procédures.
• Chaque membre du personnel seront assistés dans la mise en œuvre de ces politiques au sein de l'entreprise.
• Maintenir une vision globale, constante dans le temps, assure un équilibre entre les ressources techniques et financières à appliquer et le niveau de risque évalué.
• Établir une uniformité dans le traitement de la demande des politiques de sécurité dans le choix du bon équipement et la mise en œuvre des solutions retenues.
• Répondre aux besoins de la préservation de la confidentialité, l'intégrité et la disponibilité de l'information (ISO 27000, 2,19), en gardant en conformité avec les exigences liées à la sécurité de l'information.
Toutes les politiques de sécurité doivent être des informations précises afin de faciliter son application sur le terrain, et devrait être conçu pour être suffisamment flexible pour s'adapter à la nature unique de chaque champ. Le thème devrait englober tous les aspects de la sécurité au sein de l'entreprise est «cohérence». Pour parvenir à cette cohérence, et donc au succès de sécurité de l'information dans les organisations est d'une importance capitale pour déterminer les détails de la situation:
1.- Pour s'adapter aux spécificités des pays d'Amérique latine et les Caraïbes.
2.- Les technologies doivent être évaluées en fonction de leur accessibilité.
3.- Les ressources humaines associées à ces technologies doivent être évaluées ainsi.
4.- doivent être pris en compte le contexte économique national et régional.
Dans le détail:
1. Par la compréhension des spécificités de chaque pays, nous pouvons optimiser les phases d'exécution, en appliquant la bonne approche et la méthodologie. L'objectif est atteint avec plus de facilité et d'efficacité.
2. Aujourd'hui, aucune différence significative dans l'accès aux technologies les plus récentes parmi les pays du premier monde et les pays émergents.
3. Les ressources humaines "qualifiés" sont rares, ce qui est un fardeau pour le département qui gère et un revers en termes de plans de programmation. Par conséquent, il ya un besoin urgent de formation. Un facteur important contribuant à la réalisation réussie de l’ «objectifs de sécurité» des différents départements de l'organisation, en s'assurant que les compétences de tous les membres du personnel, leurs capacités sont élevés et maintenus au plus haut niveau que possible dans ses principaux domaines de responsabilité. Ceci est réalisé grâce à la formation et le développement des besoins identifiés. La formation devrait être menée à l'interne et inter-formation et de formation en milieu de travail au sein des départements sous-traitant.
4. Doit être pris en compte le contexte économique national ainsi que régional, afin d'éviter ces objectifs irréalistes et / ou peu pratique, et des attentes trop élevées pour répondre à ces objectifs.
3. Les défis
Tout ce qui est fait doit être surveillé et mesuré, ce qui est contrôlé et mesuré pour être gérée, c'est à dire toutes les activités sont utilisées pour coordonner, diriger et contrôler une organisation sont une partie essentielle de l'ISMS, comme sans mesurer l'efficacité des contrôles de sécurité, il est impossible de connaître l'efficacité de ces contrôles et donc de savoir si l'organisation est vraiment protégé.
Nous faisons face à des défis dans la réalisation des objectifs suivants:
1. Avoir du personnel à tous les niveaux comprennent qu'ils sont une partie intégrante de la sécurité de l'information, et joue un rôle essentiel dans le fonctionnement de l'organisation.
2. Impliquer le personnel dans la sécurité de l'entreprise / institution et des plans de prévention, une formation aux procédures d'exploitation, peut jouer un rôle dans leur propre sécurité et, ce faisant, tous les autres, en minimisant les menaces et les risques qui peuvent survenir.
3. Établir un système d'évaluation qui permet un suivi continu des aspects les plus importants qui affectent les politiques de sécurité pour détecter et corriger les défaillances qui peuvent causer une diminution de l'efficacité.
4. Définir les ressources appropriées, humaines et techniques, nécessaires pour prévenir le vandalisme et le sabotage des bâtiments, locaux et emplacements de l'équipement / antennes.
5. Prendre les mesures nécessaires de contrôle physique et technique, avec la participation et l'engagement de l'une des adresses / départements, si nécessaire, pour éviter les fuites d'informations.
6. La communication interne doit être effectuée tous les mois sur les questions de sécurité pour sensibiliser le personnel sur le rôle qu'il s doivent jouer dans le maintien de la sécurité.
7. Coordonner avec la direction juridique et des marques concernant les actions possibles à prendre, le cas échéant des dommages à l'image de l'entreprise.
8. Aide l'équipe de gestion de crise en fournissant une réponse appropriée à chaque fois qu'un événement se produit, événement, crise ou d'urgence de sécurité.
Objectifs à atteindre:
Pour mettre en œuvre des politiques de sécurité, le comité de pilotage devrait être établi comme l'un des principaux moyens pour atteindre les objectifs, à savoir la prévention, l'anticipation et, si nécessaire, en éliminant les aléas possibles et les menaces en procédant ainsi par l’utilisation des consignes de sécurité . Les mécanismes mis en place pour atteindre ces objectifs peuvent varier selon les enjeux, les modalités et la nature de l'activité (mesurable ou non), le niveau d'efficacité requis ainsi que le coût de la mise en œuvre.
Les objectifs doivent être identifiés afin de parvenir à une date spécifiée. De même, les plans d'action correspondants doivent être définis et mis en œuvre, tandis que dans le même temps, introduire des procédures de gestion efficaces pour le personnel à relever ce défi.
Merci à des objectifs en politiques de sécurité, les organisations d'Amérique latine et les Caraïbes sont en mesure d'assurer la sécurité des personnes, des installations, et l'image des entreprises.
4. La réalité
Les défis à atteindre dans les réalités de l'Amérique latine et les Caraïbes, c'est à dire terre à terre.
Être pris en compte, bien sûr, les aspects technologiques et économiques tandis que la clé pour relever avec succès les défis et atteindre les objectifs réside dans les ressources humaines. Dans cet esprit, les critères suivants ont été choisis et définis:
• L'accent devrait être inclus dans la surveillance continue et la coordination.
• En outre, il est essentiel de sensibiliser les responsabilités de chaque membre du personnel, individuellement et comme faisant partie d'une équipe.
• Comprendre les mécanismes du travail d'équipe est une question clé pour le succès. Ils sont tenus de surveiller et d'examiner les procédures et les pratiques mises en œuvre pour une efficacité et d'efficience.
• Fournir des orientations stratégiques et la motivation pour les sous-départements de managers et autres membres du personnel, résultant en des bilans efficaces.
• Les objectifs spécifiques, les responsabilités, les besoins en formation, les connaissances attendues de la formation / formation doit être revu et contrôlé, tant d'un court et moyen terme.
• S'assurer que le personnel dans tous les ministères et organismes sont suffisamment formés pour maintenir les compétences de résilience, ce qui implique ou représente une autre étape sur la route du succès.
Chacun et chacune des organisations d'Amérique latine et des Caraïbes devraient s'efforcer d'assurer la sécurité des informations et assurer l'avenir radieux que tous les organismes méritants.
Aucun commentaire:
Enregistrer un commentaire